数据泄露保险服务15年之后保险公司开始面对网络攻击带来的物理损害

标签:安全业务企业零售黑客

访客:7198  发表于:2016-12-13 10:26:27

只有来一场网络灾难,才能真正揭示保险行业的准备程度

数据泄露保险服务15年之后 保险公司开始面对网络攻击带来的物理损害

黑客的频繁出击肆意破坏简直令人沮丧,保险行业不得不正视这一全新的风险领域。网络风险范围广泛,从零售商信用卡数据泄露,到乌克兰电网遭袭致大规模断电这种灾难性事件都涵盖在内。针对数据泄露的专门“网络保险”策略已经成了相对常规的险种。但保险公司其他保险策略担保的风险,也受到了网络风险的影响——而他们正苦于理解这一所谓的“沉默的”网络暴露面。

为受数据泄露伤害的公司提供保险的服务已经存在15年了。给被盗健康记录准确估值,可比给汽车一类的有形资产估值困难多了。保险公司通过只承担公司被黑的直接损失,来规避了这一问题。通常,这笔直接损失包括聘用专业取证公司、通知受影响客户、短期业务中断、罚款等开销。

2018年即将实施的欧盟数据保护新规,将对安全事件通告提出更严格的要求,对数据泄露的罚款也比以前严厉得多,这对保险行业形成了很大的震荡。有鉴于此,普华永道估测,2014年全球保费收入25亿美元的网络保险市场,到2020年将增至75亿美元。当然,与全球保费收益6700亿美元的汽车保险市场相比,还是极小的。

然而,数据泄露,大多数情况下只是可控的干扰,而不是灾难。尽管每年都有几百起数据泄露事件发生,2010年至今报给监管机构的美国公司数据泄露事件中,却只有90起是对公司业务有实质性伤害的。

更大的担忧是那些“沉默的”暴露面——可导致物理破坏或人身伤害而引发其他保险条款的网络攻击,比如寿险、房险、商业财产保险等等。通常,此类保险策略,尽管在制定时没有考量到网络风险,却也没有特别排除它们。有些案例中,是否排除了网络因素的保险条款触发,造成的区别几乎可以忽略不计;黑了智能门锁溜进屋的窃贼,未必会比破窗而入的盗贼偷得多。但2014年德国钢厂高炉被黑客搅乱所造成的巨大破坏,乌克兰电网被黑致大面积断电这种事,保险公司就得细细思量了。他们在理解、衡量和调整此类新威胁的暴露面上,加紧了脚步。

现实世界的前例太多稀少,不足以形成任何可靠估算的基准,保险业转向了采用假想情景进行估算。去年年末,专业利基市场和新兴风险保险公司英国劳合社(Lloyd’s of London),首次邀请其保商和保险经纪人设想“似乎合理但极端”的网络攻击场景,然后报告他们估算的总体暴露程度。此举预计会成为每年常规动作。2015年5月,劳合社管理层就设想了黑客导致美国东北部整个电网断电的场景,估算这一情况会造成2220亿美元直接商业收益损失,并在随后5年对GDP造成超过1万亿美元的影响。

很多保险公司都转而寻求外部专家的帮助。像RMS和赛门铁克这种久负盛名的,提供建模能力帮助保险公司理解自身网络责任的分析公司,便陷入了“军备竞赛”中。(RMS已经是飓风建模界广受信任的专家了。)

但即便暴露面被更好地理解了,怎样限制它们也是很棘手的。比如说,划分网络战或网络恐怖主义和“常规”黑客活动之间的界限,就几乎是不可能的。网络犯罪可没有地域限制,不像佛罗里达飓风一样可测。保险策略至少需要明确承认网络风险是在覆盖范围之内,或者干脆排除掉它们——就像很多保险策略已经包括了恐怖主义或战争免责条款一样。

尽管保险公司已经帮助企业承担了平凡数据泄露的保险,但整个行业依然缺乏对大型网络灾难的明确规范化响应。不过,劳合社CEO对该市场持乐观态度,认为其严格的建模操练和独特的风险共享架构,会比大多数保险公司更有应对能力。但只有一场真实的灾难性网络攻击,才能检测其所有准备的有效性。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");